11-2023
Fachzeitschrift für Industrielle Automation, Mess-, Steuer- und Regeltechnik
Fachzeitschrift für Industrielle Automation, Mess-, Steuer- und Regeltechnik
- TAGS
- bauelemente
- messen steuern regeln
- bedienen und visualisieren
- messtechnik
- sensorik
- bildverarbeitung
- qualitaetssicherung
- robotik
- industrielle kommunikation
- hmi
- stromversorgung
- digitalisierung
- elektromechanik
- kuenstliche intelligenz
- iiot
- embedded systeme
- sbc boards module
- industrie pc
- automation
- software
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Software/Tools/Kits<br />
Regulatorische Vorgaben<br />
und Standards<br />
Ähnlich wie die Stückliste in der<br />
Fertigung entwickelt sich die SBOM<br />
zu einem festen Bestandteil des<br />
Anforderungskatalogs in Kaufverträgen<br />
und Request for Information<br />
(RFIs). Auch auf Seiten des<br />
Gesetzgebers rückt die Software-<br />
Stück liste in den Mittelpunkt. Der<br />
von der EU vorgelegte Entwurf des<br />
Cyber Resilience Act (CRA) macht<br />
die SBOM zur Pflicht. Entwickler<br />
sind demnach unmittelbar für Cyberattacken<br />
haftbar, wenn diese auf<br />
Sicherheitslücken im Code zurückzuführen<br />
sind. Auch Branchenverbände<br />
wie die GENIVI Alliance und<br />
die Automotive Grade Linux (AGL)<br />
sprechen sich für die verbindliche<br />
Einführung der SBOM aus.<br />
Noch kein Standard für<br />
SBOM-Erstellung<br />
Trotz aller Initiativen: Noch fehlt<br />
es an dem einen Standard für die<br />
Erstellung von SBOMs. Verschiedene<br />
Stakeholder geben Informationen<br />
auf unterschiedliche Art und<br />
Weise entlang der Lieferkette weiter.<br />
Das reißt Lücken in die Dokumentation<br />
und macht sie fehleranfällig.<br />
Zu den vom BSI anerkannten<br />
Formaten gehören SPDX in der Version<br />
2.3 oder höher sowie CycloneDX<br />
in der Version 1.4 oder höher. Doch<br />
Vorsicht: Auch hier ist die Wahl von<br />
jeweiligen Präferenzen abhängig. So<br />
wird SPDX beispielweise von Microsoft<br />
genutzt, während Siemens auf<br />
das CycloneDX-Format setzt.<br />
Best Practices<br />
Unternehmen sollten darüber<br />
hinaus beim Erstellen einer SBOM<br />
einigen grundlegenden Best Practices<br />
folgen:<br />
• Aufbereitung:<br />
Für einen hohen Automatisierungsgrad<br />
sollte der Datensatz einer<br />
SBOM maschinenlesbar sein und<br />
über strukturierte Datenformate<br />
und Austauschprotokolle verfügen.<br />
Tools können dann das Auslesen<br />
und Erstellen der Stückliste übernehmen,<br />
die Listen nach Sicherheits-<br />
und Compliance-Verstößen<br />
scannen und diese mit dem Software-Code<br />
abgleichen. Die Automatisierung<br />
ist notwendig, um der<br />
Fülle an SBOM-Informationen sowie<br />
den unterschiedlichen Strukturen<br />
von SBOMs Herr zu werden.<br />
• Mehrwert für die IT-Sicherheit:<br />
SBOMs an sich enthalten keine<br />
Aussage zu Schwachstellen oder<br />
deren Ausnutzbarkeit. Dafür<br />
bedarf es eines Abgleichs mit<br />
CVE(Common Vulnerabilites and<br />
Exposures)-Informationen oder<br />
Security Advisories. Auch eine<br />
Analyse oder der Einsatz eines<br />
Software Composition Analysis-<br />
Tool entfällt durch die SBOM nicht.<br />
Vielmehr sollten SBOMs mit Ergebnissen<br />
von Analysen und Sicherheitsupdates<br />
kombiniert werden.<br />
Vulnerability Disclosure Reports<br />
(VDR) oder Vulnerability Exploitability<br />
eXchange (VEX) liefern<br />
eine aktuelle Momentaufnahme<br />
der Sicherheitslage und verweisen<br />
auf die in der SBOM aufgelisteten<br />
Code-Komponenten.<br />
• Kontinuierliche Aktualisierung:<br />
Ein Update der SBOM muss in<br />
regelmäßigen und klar abgesteckten<br />
Zeiträumen stattfinden,<br />
wenn sie nicht an Bedeutung verlieren<br />
will. Hersteller nutzen oft ein<br />
neues Release als Gelegenheit<br />
zur Überprüfung und Aktualisierung.<br />
In manchen Fällen bestimmen<br />
auch Vertragsvereinbarungen<br />
mit Kunden sowie Compliance-<br />
Richtlinien den Zyklus.<br />
SBOM Kreislauf © Revenera<br />
• Dedizierte Teams:<br />
Die Komplexität des Software<br />
Supply Chain Managements<br />
setzt klar definierte Prozesse und<br />
neue Rollen und Verantwortlichkeiten<br />
im Unternehmen voraus.<br />
Im Open Source Program Office<br />
(OSPO) arbeiten beispielsweise<br />
verschiedene Abteilungen (z. B.<br />
Recht, Entwicklung, Produktmanagement,<br />
Sicherheit) zusammen,<br />
um Richtlinien für den sicherheitskonformen<br />
Umgang von Open-<br />
Source- und Dritt-Code zu implementieren.<br />
Die praktische<br />
Realisierung und Durchsetzung<br />
ist dann die Aufgabe des Open<br />
Source Review Boards (OSRB).<br />
OpenChain Project<br />
Für Unternehmen auf der Suche<br />
nach definierten Prozessen, Frameworks<br />
und Trainings-Material rund<br />
um die SBOM bietet das von Linux<br />
ins Leben gerufene OpenChain<br />
Project eine gute Anlaufstelle. Der<br />
Zusammenschluss aus über 1.000<br />
Unternehmen ist verantwortlich für<br />
die Standards ISO/IEC 5230:2020<br />
und ISO/IEC DIS 18974, die sich<br />
mit der Nutzung und Dokumentation<br />
von OSS befassen. Umfassende<br />
Guidelines finden sich zudem<br />
auf den Webseiten der US-Behörde<br />
National Telecommunications and<br />
Information Administration (NTIA)<br />
sowie der Cybersecurity and Infrastructure<br />
Security Agency (CISA).<br />
Über die Autorin:<br />
Nicole Segerer blickt auf über<br />
15 Jahre Erfahrung in den Bereichen<br />
Softwareproduktstrategie und Marketing<br />
zurück. Bei ihr dreht sich alles<br />
um die Analyse von Softwareprodukten<br />
und darum, den Mehrwert<br />
der Lösungen sowie das Kundenerlebnis<br />
zu steigern. Als SVP und<br />
General Manager bei Revenera<br />
unterstützt sie Softwareanbieter<br />
und IoT-Hersteller bei der Umstellung<br />
auf neue digitale Geschäftsmodell<br />
und der Optimierung der<br />
Software monetarisierung. ◄<br />
Links:<br />
National Telecommunications and Information Administration (NTIA)<br />
https://www.ntia.gov/page/software-bill-materials<br />
Cybersecurity and Infrastructure Security Agency (CISA)<br />
https://www.cisa.gov/sbom<br />
84 PC & Industrie <strong>11</strong>/<strong>2023</strong>